HELP FILE

Authenticatie met single sign-on instellen

Met single sign-on (SSO) kunnen supporttechnici zich veilig vanuit andere toepassingen aanmelden bij LogMeIn Rescue Lens.

In de wereld van zakelijke IT hebben veel bedrijven te maken met verschillende systemen die allemaal een eigen authenticatiemethode hebben. Dit is lastig voor zowel de beheerders als de eindgebruikers. Met single sign-on (SSO) van LogMeIn Rescue kunt u dit probleem oplossen.

Opties

De instellingen bevinden zich in het Beheercentrum onder de tab Algemene instellingen bij Single sign-on.

U bepaalt hoe technici en beheerders zich kunnen aanmelden bij Rescue.

Dit is een overzicht van de opties onder Algemene instellingen > Single sign-on > Toegestane methode voor aanmelding:
  • Optie één: Standaard of SSO
    • Gebruikers kunnen zich aanmelden met hun standaard e-mailadres en wachtwoord van Rescue Lens of met hun SSO-ID. Beide methoden zijn geldig.
    • Let op: Als u SSO toestaat, moet u een Master-SSO-wachtwoord instellen (op het tabblad Algemene instellingen) en per gebruiker een SSO-ID toewijzen (op het tabblad Organisatie). Gebruikers zonder SSO-ID kunnen geen gebruik maken van SSO.
  • Optie twee: Alleen SSO
    • Gebruikers kunnen zich uitsluitend aanmelden met hun SSO-ID. Als u deze optie kiest, kunnen gebruikers zonder SSO-ID zich niet aanmelden.
    • Let op: Als u SSO toestaat, moet u een Master-SSO-wachtwoord instellen (op het tabblad Algemene instellingen) en per gebruiker een SSO-ID toewijzen (op het tabblad Organisatie).
  • Optie drie: Alleen SSO plus Gebruikers zonder SSO-ID toestaan om zich standaard aan te melden
    • Gebruikers met een SSO-ID kunnen zich uitsluitend aanmelden met hun SSO-ID.
    • Gebruikers zonder SSO-ID kunnen zich standaard aanmelden.

Hoe het werkt

SSO-functionaliteit maakt gebruik van API-technologie.

  • Het bedrijfsscript stuurt een HTTP-verzoek naar de SSO-aanmeldservices
  • De SSO-aanmeldservice controleert de aanmelding en haalt de aanmeld-URL op, of geeft een foutmelding als de aanmelding faalt
  • Het script evalueert vervolgens de geretourneerde waarde
  • Als dit is gelukt, stuurt het door het bedrijf gehoste script de gebruiker door naar de opgegeven URL. Als dit niet is gelukt, wordt probleemoplossing gestart
Het HTTP-verzoek is een eenvoudig opgemaakte URL-string met daarin de SSO-URL, de SSO-ID, de bedrijfs-ID en het SSO-wachtwoord.
URL voor single sign-on (SSO-URL)
Voor aanmelden bij de webgebaseerde Technician Console: https://secure.logmeinrescue.com/SSO/GetLoginTicket.aspx
Voor aanmelden bij de desktopversie van de Technician Console: https://secure.logmeinrescue.com/SSO/GetDTCLoginTicket.aspx
ID voor single sign-on (SSO-ID)
De ID die u in het vak Single sign-on van het tabblad Organisatie in het Beheercentrum invoert wanneer u leden van de organisatie toevoegt of bewerkt.
Bedrijfs-ID
Zie de voorbeeldcode in het tabblad Algemene instellingen van het Beheercentrum.
Master-SSO-wachtwoord
Het SSO-wachtwoord dat is ingesteld in het tabblad Algemene instellingen van het Beheercentrum.

Deze opgemaakte URL zou er als volgt uit kunnen zien:

Voor het aanmelden bij de webgebaseerde Technician Console:
https://secure.logmeinrescue.com/SSO/GetLoginTicket.aspx? ssoid=123456&Password=secretPassword&CompanyID=654321
Voor het aanmelden bij de desktopversie van de Technician Console:
  • x86 DTC:
    https://secure.logmeinrescue.com/SSO/GetDTCLoginTicket.aspx? ssoid=123456&Password=secretPassword&CompanyID=654321
  • x64 DTC:
    https://secure.logmeinrescue.com/SSO/GetDTCLoginTicket.aspx? ssoid=123456&Password=secretPassword&CompanyID=654321&arch=64

Bij dit verzoek worden de SSO-ID, het wachtwoord en de bedrijfs-ID verzonden naar de SSO-service van Rescue, die een stringwaarde retourneert. Bij een geslaagde authenticatie zou de geretourneerde string er als volgt uit kunnen zien:

Voor de webgebaseerde Technician Console:
OK: https://secure.logmeinrescue.com/SSO/Login.aspx? Ticket=6ab9a0f6-d3ce-4f498-8ea7-b9a76a67a0c8
Voor de desktopversie van de Technician Console:
  • x86 DTC:
    https://secure.logmeinrescue.com/TechConsole/DesktopApp/DownloadSSO.aspx? companyid=654321&ticket=4c6f1815-1e0c-43ab-8117-d79b8f523824
  • x64 DTC:
    https://secure.logmeinrescue.com/TechConsole/DesktopApp/DownloadSSO.aspx? companyid=654321&ticket=4c6f1815-1e0c-43ab-8117-d79b8f523824&arch=64
Bij een niet-succesvolle verificatie zou de geretourneerde string er als volgt uit kunnen zien:
ERROR: INVALIDPASSWORD

U kunt deze string vervolgens verwerken en eventuele fouten opsporen en afhandelen. In een normaal scenario gebruikt u een IF-voorwaarde om de geretourneerde string te verwerken en deze te controleren op de aanwezigheid van OK: in de eerste drie tekens. Als deze tekens aanwezig zijn, geeft u de URL (het laatste deel van de verwerkte string) door aan de gebruiker of stuurt u de gebruiker automatisch door.

Single sign-on: overwegingen

Omdat voor single sign-on een gebruikers-ID moet worden geverifieerd, is het logisch om hiervoor Windows-aanmeldingsgegevens te gebruiken. In de meeste programmeertalen kunt u dit doen met behulp van server-variabelen. Hiervoor is het belangrijk dat de serververbinding een geauthenticeerde (niet anonieme) verbinding is. Dit is een integratieproces via Internet Explorer, waarbij domeinaanmeldingsgegevens automatisch naar de intranetserver worden doorgegeven, op voorwaarde dat anonieme toegang niet is toegestaan. De beste benadering is om de geauthenticeerde gebruikers-ID van uw intranet-webserver als SSO-ID door te geven aan de SSO-service.